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(57) Abstract: The invention relates to a process automation system wherein process appliances (1 to 6) carry out pre-determined 
functions in terms of the process automation and interchange functional and/or appliance-related data (23, 24) with the process 
automation system, at least one part of the data (23, 24) being interchanged in an encoded manner. 



(57) Zusammenfassung: In einem Prozessautomatisierungssystem, in dem Prozessgerate (1 bis 6) vorgegebene Funktionen im Rah- 
£^ men der Prozessautomatisierung ausfuhren und dabei mit dem Prozessautomatisierungssystem funktions- und/oder geraterelevante 
^ Daten (23, 24) austauschen, wird zumindest ein Teil der Daten (23, 24) verschliisselt ausgetauscht. 
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Beschreibung 

Prozessautomatisierungssystem und Prozessgerat fur ein 
Prozessautomatisierungssystem 

5 

Die Erfindung betrifft ein Prozessautomatisierungssystem und 
ein Prozessgerat fur ein Prozessautomatisierungssystem. 

In zunehmendem Mal3e ergibt sich die Forderung nach einer 

10 Obertragung von Daten zwischen einem Prozessautomatisierungs- 
system oder Teilen oder Komponenten davon und externen Stel- 
len. Beispiele dafur sind Fernprogrammierung, Fernparametrie- 
rung, Fernwartung oder Ferndiagnose . So ist es aus der 
DE 198 48 618 Al bekannt, zur Fernwartung und/oder Diagnose 

15 von der externen Stelle an das Prozessautomatisierungssystem 
zu iibertragende Daten, z. B. ein Steuerbef ehl, in eine E-Mail 
zu verpacken, diese an das Prozessautomatisierungssystem zu 
adressieren und dorthin abzusenden. Innerhalb des Prozess- 
automatisierungssystems wird die E-Mail von dem Adressaten 

2 0 empfangen, der den Steuerbef ehl durch Decodieren extrahiert 
und an die Anwendung, fUr die der Steuerbefehl bestimmt ist, 
weiterleitet . Umgekehrt konnen in gleicher Weise Daten von 
dem Prozessautomatisierungssystem an externe Stellen uber- 
mittelt werden. Spezielle Datenverbindungen zwischen dem Pro- 

25 zessautomatisierungssystem und den externen Stellen sind dazu 
nicht erforderlich, weil standardmaliige Datenubertragungs- 
systeme (globale und/oder lokale Datennetze, wie z. B. Inter- 
net bzw. Intranet) in Verbindung mit einem elektronischen 
Schutzwall (Firewall) urn das Prozessautomatisierungssystem 

30 verwendet werden konnen, wobei der elektronische Schutzwall 
fttr die E-Mails durchlassig ist (sog. E-Mail-Tunneling) . 

Zur Erhohung der Sicherheit gegen ein unerlaubtes Eindringen 
in den Schutzwall des Prozessautomatisierungssystems konnen 
35 die in der E-Mail verpackten Daten verschllisselt und an- 

schlieflend beim Extrahieren aus der E-Mail wieder entschliis- 
selt werden, bevor sie weitergeleitet werden. Dabei erfolgt 
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die -Verschlusselung der an die externe Stelle zu ubermitteln- 
den Daten bzw. die Entschlusselung der von der externen Stel- 
le empfangenen Daten innerhalb des Prozessautomatisierungs- 
sys terns in einer einzigen Verschlusselungs- bzw. Entschlusse- 
lungsvorrichtung. Es ist daher nicht ohne weiteres moglich, 
einen ausgewahlten Teil der Daten, z. B. sicherheitsrelevante 
Daten, verschlusselt und die tibrigen Daten unverschliisselt 
zwischen dem Prozessautomatisierungssystem und der externen 
Stelle auszutauschen. Statt dessen werden, soweit eine Ver- 
schlusselung vorgesehen ist, alle uber den elektronischen 
Schutzwall auszutauschenden Daten pauschal verschliisselt, was 
mit einem entsprechenden Aufwand und einer Reduzierung der 
Datenlibertragungsgeschwindigkeit verbunden ist. Ferner ist 
der Austausch der verschlusselten Daten zwischen dem Prozess- 
automatisierungssystem und den externen Stellen auf den Weg 
uber die Verschlusselungs- und Entschlusselungsvorrichtung in 
dem Prozessautomatisierungssystem beschrankt, so dass es 
nicht moglich ist, verschlusselte Daten an unterschiedlichen 
Orten innerhalb des Prozessautomatisierungssystems zu kommu- 
nizieren. Schliefilich sind zu sendende Daten vor ihrer Ver- 
schlusselung und empfangene Daten nach ihrer EntschlUsselung 
innerhalb des Prozessautomatisierungssystems manipulierbar . 

Die Verschlusselung vertraulicher Daten vor ihrer Obertragung 
an einen Empf anger ist allgemein bekannt. Bei dem so genann- 
ten offentlichen Verschlusselungsverf ahren verwendet der 
Sender einen Sffentlichen Schlussel des berechtigten Empfan- 
gers zur Verschlusselung der Daten, so dass nur dieser die 
Daten mit seinem eigenen privaten Schlussel entschlusseln 
kann. Die Authentif izierung des Senders kann durch Signieren 
der Daten erfolgen. Dazu verschlusselt der Sender die Daten 
mit seinem eigenen privaten Schlussel, wahrend der Empf anger 
zur Entschltlsselung der Daten den offentlichen Schlussel des 
Senders verwendet. Mit offentlichen Schliisseln verschlusselte 
Daten sind nicht notwendigerweise authentisch, wahrend mit 
privaten SchlUsseln signierte Daten nicht vertraulich sind. 
Zur Herstellung von Vertraulichkeit und Authentizitat konnen 
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daher Verschltisselung und Signierung kombiniert werden, wozu 
der Sender die Daten zunachst mit dem eigenen privaten 
Schlussel und anschliefiend mit dem offentlichen Schlussel des 
Empf angers verschliisselt. Urn schlieBlich auch noch die In- 
5 tegritat, d. h. die Unverf alschtheit , der iibertragenen Daten 
zu gewahrleisten, kann der Sender aus den Daten einen Pruf- 
code bestimmen, der signiert, d. h. mit dem sendereigenen 
privaten Schliissel verschliisselt, an den Empfanger tibertragen 
wird. Der Empfanger entschliisselt den Prufcode mit dem 
10 offentlichen Schlussel des Senders und vergleicht den so 

entschliisselten Prufcode mit dem aus den empfangenen Daten 
berechneten Prufcode; wenn beide Pruf codes gleich sind, ist 
die Integritat der Daten gesichert. 

15 Der Erfindung liegt die Aufgabe zugrunde, eine flexible und 
zugleich sichere Handhabung ausgewahlter wichtiger Daten 
eines Prozessautomatisierungssystems zu ermoglichen, 

Gemafl der Erfindung wird die Aufgabe durch das Prozessauto- 
20 matisierungssystem nach Anspruch 1 bzw. das Prozessgerat nach. 
Anspruch 5 gelost. 

Vorteilhafte Weiterbildungen des erf indungsgemafien Prozess- 
automatisierungssystems bzw. Prozessgerats sind in den Unter- 
25 anspruchen angegeben. 

In dem erf indungsgemaJJen Prozessautomatisierungssystem fiihren 
Prozessgerate vorgegebene Funktionen im Rahmen der Prozess- 
automatisierung aus und tauschen dabei mit dem Prozessautoma- 
30 tisierungssystem funktions- und/oder geraterelevante Daten 
aus, wobei zumindest ein Teil der Daten verschliisselt aus- 
getauscht wird. 

Das erf indungsgemaBe Prozessgerat fur ein Prozessautomatisie- 
35 rungssystem enthalt eine Funktionseinrichtung zur Ausfiihrung 
vorgegebener Funktionen im Rahmen der Prozessautomatisierung 
und eine mit der Funktionseinrichtung verbundene und an das 
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Prozessautomatisierungssystem anschliefibare Kommunikatrons- 
einrichtung zum Austausch funktions- und/oder geraterelevan- 
ter Daten rait dera Prozessautomatisierungssystem, wobei die 
Kom^unikationseinrichtung den Austausch zumindest eines Ten- 
der Daten verschlusselt durchfuhrende Mittel aufwexst. 

Die Verschliisselung bzw. Entschlusselung von Daten erfolgt in 
den Prozessgeraten, also den Sendern und Empfangern der 
Daten, wobei die verschlusselten Daten innerhalb des Prozess- 
automatisierungssystems auf dieselbe Weise wie unverschlus- 
selte Daten kommuniziert werden. Unter Prozessgeraten sin 
Feldgerate, Wartengerate und sonstige Endgerate zu verstehen, 
also beispielsweise Messumf ormer, Aktoren, Antriebe, Analy- 

, d„^i<=v sind z B. Messumf ormer 

sengerate, Steuerungen und Regler. So sxna z. 

Sender von Messdaten und Empfanger von Parametrierungsdaten, 
die zu ihrer Parametrierung dienen. In dem Umfange, m dem 
diese Daten als sicherungsbedurf tig angesehen werden, werden 
sie iiber die Kommunikationseinrichtung des Messumf ormers 
verschlusselt mit dem Prozessautomatisierungssystem ausge- 
tauscht; andere, nicht als sicherungsbedurf tig eingestufte 
Daten werden unverschltisselt ausgetauscht . Je nach Verschlus- 
selung sind die verschlusselten Daten gegen Manipulation ge- 
schUtzt und/oder konnen nur von einem berechtigten Empfanger 
empfangen werden, wobei zusatzlich der Sender authentif xzier- 
bar ist. Sender und Empfanger von Daten konnen gleichermaSen 
die Prozessgerate innerhalb des Prozessautomatisierungs- 
systems wie auch externe Stellen sein, die beliebig an das 
Prozessautomatisierungssystem angekoppelt werden konnen. 

In der Hardware, durch Programmierung oder durch ggf . ver- 
schlusselt durchzufvihrende Parametrierung der Prozessgerate 
ist festgelegt, welche Daten als sicherungsbedurf tig gelten 
und verschlusselt auszutauschen sind. So werden sicherungs- 
bedtirftige Sendedaten automatisch verschlusselt, bevor sxe 
35 abgesandt werden, und empfangene Daten konnen nur nach Ent- 
schlusselung in dem Prozessgerat weiterverarbeitet werden. 
Dabei kann ein Teil der Daten sowohl unverschltisselt als auch 
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parallel dazu verschltisselt ausgetauscht werden. Ein Beispiel 
hierfur sind Messdaten, die sowohl in dem Prozessautomatisie- 
rungssystem im Rahmen der Steuerung und Regelung unverschlus- 
selt weiterverarbeitet werden als auch bei eichpf lichtigen 
5 Applikationen oder fur amtliche tiberwachungszwecke verwendet 
und dazu verschltisselt werden. So konnen z. B. eichfahige 
Wagedaten von Industriewaagen verschltisselt an einen externen 
Datenspeicher oder eine Anzeige ausgegeben werden, ohne dass 
der Datenubertragungsweg gekapselt werden muss, und gleich- 

10 zeitig mit den unverschlusselten Wagedaten beispielsweise ein 
Abftillvorgang gesteuert werden. Da hier z. B. die verschliis- 
selten Daten im Wesentlichen fur Registrierungszwecke verwen- 
det werden, kann vorgesehen werden, dass die verschltisselten 
Daten gegenuber den unverschlusselten Daten nachrangig, d. h. 

15 mit niedrigerer Prioritat, kommuniziert werden, so dass die 
Steuerung und Regelung mit den unverschlusselten Daten nicht 
beeintrachtigt wird. Dabei kann insbesondere vorgesehen wer- 
den, dass verschlusselte Daten zunachst, ggf - mit Zeit- 
stempeln versehen, gesammelt werden, bevor sie zu einem spa- 

20 teren Zeitpunkt beispielsweise in einem Datenpaket gebundelt 
kommuniziert werden. 

Zur weiteren Erlauterung der Erfindung wird im Folgenden auf 
die Figuren der Zeichnung Bezug genommen; im Einzelnen zeigen 

25 

Figur 1 ein Ausf uhrungsbeispiel des erf indungsgemalien 
Pro z ess automat isierungs systems und 

Figur 2 ein Ausf uhrungsbeispiel des erf indungsgemaBen 
30 Prozessgerats . 

Figur 1 zeigt in schematischer Darstellung ein Prozessautoma- 
tisierungssystem mit einer Vielzahl von Prozessgeraten, die 
vorgegebene Funktionen im Rahmen der Prozessautomatisierung 
35 ausftihren und dabei funktions- und/oder geraterelevante Daten 
mit dem Prozessautomatisierungssystem austauschen. Unter 
Prozessgeraten sind hier Datenendgerate, also Sender und 
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Empf anger von Daten zu verstehen. Insbesondere gehoren dazu 
Feld- und wartengerate, z. B. Messumformer 1 ftir Druck, 
Temperatur, Durchfluss, Fullstand usw. , Analysengerate 2 fur 
Gas- Oder Flussigkeitsanalyse, Wagesysteme 3, Stellungsregler 
5 ftir Ventile und sonstige dezentrale Regler 4, Stellantriebe 
5, Registries und Anzeigegerate 6. Zum Austausch der Daten 
innerhalb des Prozessautomatisierungssystems sind die Pro- 
zessgerate im dezentralen Peripheriebereich zusammen mit de- 
zentraler Steuerung und Regelung 7 und Bedienung und Beobach- 
10 tung 8 uber Feldbusse 9 oder andere Kommunikationswege mit- 
einander verbunden, wobei unterschiedliche Feldbusse 9 uber 
Buskoppler 10 miteinander verbunden sind. Die Feldbusse 9 
sind wiederum uber Steuereinrichtungen 11 an einem zentralen 
Anlagenbus 12 angebunden, an dem auch eine zentrale Steuerung 
15 und Regelung 13 und Bedienung und Beobachtung 14 angeschlos- 
sen ist. Der Anlagenbus 12 ist Uber eine Koppeleinrichtung 15 
ait einem globalen Kommunikationsnetz 16, z. B. Internet, 
verbunden, um einen Datenaustausch mit externen Stellen 17 
beispielsweise zur Fernwartung, -diagnose, -parametrierung, 
20 -tiberwachung usw. des Prozessautomatisierungssystems bzw. 
einzelner Prozessgerate zu ermogliohen. SchlieBlich konnen 
weitere externe Stellen 18, z. B. Programmier-, Diagnose- 
oder Servicegerate an untersohiedlichen Punkten des Prozess- 
automatisierungssystems angekoppelt werden. 

Vorgegebene sicherungsbedurf tige Daten des Prozessautomati- 
sierungssystems werden verschltisselt ausgetauscht , wobei i)e 
nach Verschlusselung sichergestellt ist, dass diese Daten auf 
dem Wege von dem Sender zu dem Empfanger oder den Empfangern 

30 gegen Manipulation geschutzt sind und/oder nur von einem be- 
rechtigten Empfanger empfangen werden konnen, wobei zusatz- 
lich der Sender authentif izierbar ist. Die Verschlusselung 
bzw. Entschltisselung erfolgt in den Datenendgeraten, also den 
Sendern bzw. Empfangern, hier den Prozessgeraten bzw. exter- 

35 nen Stellen, wobei die verschlusselten Daten innerhalb des 
Prozessautomatisierungssystems genauso wie unverschlusselte 
Daten ubertragen werden. 
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Figur 2 zeigt ein Prozessgerat, hier z. B. einen Messumf ormer 
1 mit einer Funktionseinrichtung 19 zur Ausfuhrung der Mess- 
funktion und mit einer mit der Funktionseinrichtung 19 ver- 
bundenen und an das Prozessautomatisierungssystem, hier den 
5 Feldbus 9, anschlieJSbaren Kommunikationseinrichtung 20 zum 
Austausch funktions- und/oder geraterelevanter Daten mit dem 
Prozessautomatisierungssystem. Die Funktionseinrichtung 19 
umfasst einen Sensor 21 und eine Messwerterf assung und 
-berechnung 22, die Messdaten, Diagnosedaten und sonstige 

10 gerate- oder f unktionsspezif ische Daten 23 generiert und 

Befehls-, Parametrier- und sonstige ihr zugefiihrte Daten 24 
verarbeitet. Diese Sendedaten 23 und Empf angsdaten 24 werden 
fiber die Kommunikationseinrichtung 20 des Messumf ormers 1 mit 
dem Prozessautomatisierungssystem ausgetauscht . Durch Hard- 

15 wareverschaltung oder Programmierung ist festgelegt, welche 
der Sendedaten 23 in einer Verschliisselungsvorrichtung 25 
verschlusselt werden. Bei Empf angsdaten 24 erkennt die Kommu- 
nikationseinrichtung 20, welche der Daten verschlusselt sind 
und entschlusselt diese in einer Entschlusselungsvorrichtung 

20 26. Die Verschlusselung bzw. Entschlusselung der Daten 23 und 
24 erfolgt hier nach dem of f entlichen Verschlusselungsver f ah- 
ren. Dazu enthalt jedes Prozessgerat, hier also der Mess- 
umf ormer 1, einen eigenen privaten Schlussel sowie einen dazu 
korrespondierenden offentlichen Schlussel, wobei die Schllis- 

25 sel in dem Messumformer 1 hinterlegt oder von diesem selbst 
generiert werden. Im Unterschied zu dem unzuganglich abge- 
speicherten privaten Schlussel wird der offentliche Schlussel 
bei der Einbindung des Messumf ormers 1 in das Prozessautoma- 
tisierungssystem, z. B. bei der Inbetriebnahme, einer zen- 

30 tralen Schlusselverwaltung 27 (Figur 1) mitgeteilt, fiir die 
ein separates Gerat vorgesehen sein kann oder die in einem 
bereits vorhandenen Gerat, z. B. einer speicherprogrammier- 
baren Steuerung, des Prozessautomatisierungssystems imple- 
mentiert ist. Externe Stellen 18, die mit Prozessgeraten 

35 Daten austauschen wollen, melden sich zuvor automatisch bei 
der Schlusselverwaltung 27 an und hinterlegen dort nach 
Oberprufung ihrer Identitat ihren jeweiligen offentlichen 
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Schltlasel. Die zentrale Schlusselverwaltung 27 gewahrleistet 
die Authentizitat der verwalteten offentlichen Schlussel, 
indem diese jeweils mit dem privaten Schlussel der Schltissel- 
verwaltung 27 signiert werden, so dass rait Hilfe des offent- 
lichen Schltissels der Schlusselverwaltung 27 jederzeit die 
Authentizitat der Sffentlichen Schlussel gepruft werden kann. 

1st z. B. vorgesehen, dass die Einstellung eines bestiromten 
Parameters in einem Prozessgerat, z. B. 4, nur durch eine 
autorisierte externe Stelle 18 moglich sein soli, so wird der 
an das Prozessgerat 4 zu ubertragende Einstellwert in der 
externen Stelle 18 derart verschlusselt, dass die Integritat 
des Einstellwerts beim Empfang durch das Prozessgerat 4 
sichergestellt ist und dass ferner das Prozessgerat 4 die 
i Identitat der externen Stelle 18 und damit deren Berechtigung 
zur Parartietereinstellung feststellen kann. 

Es kann vorgesehen sein, dass ein und dieselben Daten, hier 
z. B. die Messdaten des Messumf ormers 1, an bestimmte Empfan- 

0 ger, z. B. ein eichpf lichtiges Registrier- oder Anzeigegerat, 
verschlusselt und an andere Empf anger, z. B. die Messdaten 
weiterverarbeitende Regler, unverschlusselt ubertragen wer- 
den. In der Regel werden nur diejenigen Daten verschlusselt 
ubertragen, die sicherungsbediirf tig sind; alle ubrigen Daten, 

15 insbesondere die zur Prozesssteuerung und -regelung dienenden 
Daten, werden uberwiegend unverschlusselt ubertragen. Urn die 
Prozesssteuerung und -regelung nicht zu beeintrachtigen, 
werden die unverschliisselten Daten mit hoherer Prioritat als 
die verschliisselten Daten kommuniziert, wozu die verschlUs- 

30 selten bzw. zu verschlusselnden Daten zunachst in einem Spei- 
cher 28 des Prozessgerats 1 gesammelt werden konnen. 

Die hier beschriebene Datenverschlvlsselung ermoglicht also 
insbesondere eine f alschungssichere Fernparametrierung von 
35 Prozessgeraten oder einen autorisierten Service von beliebi- 
gen Stellen aus, eine sichere amtliche Uberwachung von Mess- 
werten oder Prozesszustanden, eine f alschungssichere ubertra- 
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gung von sicherheitsrelevanten und/oder vertraulichen Daten, 
Diagnosedaten oder Anlagenparametern, wie z. B. Rezepturen, 
die Ubertragung von eichf&higen Daten ohne das Erfordernis 
einer Kapselung der Ubertragungswege, uvm. 
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Patentansprttche 

1. Prozessautomatisierungssystem, in dem Prozessgerate (Ibis 
6) vorgegebene Funktionen im Rahmen der Prozessautomatisie- 
5 rung ausfuhren und dabei mit dem Prozessautomatisierungs- 
system funktions- und/oder geraterelevante Daten (23, 24) 
austauschen, wobei zumindest ein Teil der Daten (23, 24) ver- 
schlUsselt ausgetauscht wird. 

10 2. Prozessautomatisierungssystem nach Anspruch 1, dadurch 
gekennzeichnet , dass zumindest ein Teil der Daten (23, 
24) verschlusselt und parallel dazu unverschlusselt ausge- 
tauscht wird. 

15 3. Prozessautomatisierungssystem nach Anspruch 1 Oder 2, 
dadurch gekennzeichnet, dass verschliisselte Daten 
gegenuber unverschltisselten Daten nachrangig ausgetauscht 
werden . 

2 0 4. Prozessautomatisierungssystem nach Anspruch 3, dadurch 
gekennzeichnet, dass verschliisselte Daten zunachst in 
einem Speicher (28) des Prozessgerats (1) gesammelt und da- 
nach ausgetauscht werden. 

25 5. Prozessgerat (1) fur ein Prozessautomatisierungssystem mit 
einer Funktionseinrichtung (19) zur Ausfuhrung vorgegebener 
Funktionen im Rahmen der Prozessautomatisierung und mit einer 
mit der Funktionseinrichtung (19) verbundenen und an das Pro- 
zessautomatisierungssystem anschliefibaren Kommunikations- 

30 einrichtung (20) zum Austausch funktions- und/oder gerate- 
relevanter Daten (23, 24) mit dem Prozessautomatisierungs- 
system, wobei die Kommunikationseinrichtung (20) den Aus- 
tausch zumindest eines Teils der Daten (23, 24) verschlusselt 
durchfiihrende Mittel (25, 26) aufweist. 

35 
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